Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Neue Malware auf 1,3 Millionen Android-TV-Boxen – vor allem auf Billig-Geräten

Auf diversen Android-TV-Boxen ist eine neue Malware aufgetaucht. Betroffen sind nur bestimmte Geräte.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen
Andorid.-TV-Stick wird von Malware angegriffen

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 5 Min.
Security
Von
  • Niklas Jan Engelking
Inhaltsverzeichnis

Eine Backdoor-Malware namens "Vo1d" hat offenbar 1,3 Millionen Android-TV-Boxen befallen, welche Open-Source-Versionen des Betriebssystems nutzen. Sie ermöglicht es den Urhebern, die Geräte per Fernzugriff zu steuern und weitere schädliche Elemente zu installieren. Betroffen sind laut des IT-Sicherheitsdienstleisters Dr. Web wohl Geräte in 197 Ländern.

Verbreitet ist "Vo1d" laut dem Bericht des russischen IT-Sicherheitsdienstleisters Dr. Web vor allem in Brasilien, Marokko und Pakistan, Saudi-Arabien, Russland, Argentinien, Ecuador, Tunesien, Malaysia, Algerien und Indonesien. Demnach installiert die Backdoor-Malware, deren Ursprung noch nicht genau bekannt ist, ihre Elemente auf dem Speicher der Geräte und ermöglicht ihren Urhebern so den Fernzugriff auf die Boxen, mit denen sich der Fernseher zu einem Android-fähigen Gerät machen lässt.

Offenbar nur Open-Source-Versionen von Android betroffen

Auf Abruf können die Geräte dann zum Beispiel heimlich weitere schädliche Software herunterladen oder als Teil eines größeren Botnetzes missbraucht werden. Auch Google äußerte auf Anfrage des Portals Bleeping Computer zu dem Fall und stellte klar, dass es sich bei den betroffenen Geräten ausschließlich um Android-TV-Boxen mit Versionen des Betriebssystems "Android Open Source Project" (AOSP) handelt.

AOSP hat nichts mit dem proprietären Betriebssystem für Android-Fernseher, Android TV, zu tun und ist nicht Play-Protect-zertifiziert. Google verwies in seiner Stellungnahme darauf, dass Android TV nur von lizenzierten Herstellern benutzt werden darf und Google dagegen bei AOSP-Geräten keinen Zugriff auf Sicherheitsberichte und Kompatibilitätstests hat. Für Nutzer, die die Play Protect-Zertifizierung ihres Gerätes prüfen möchten, stellt Google eine Anleitung bereit.

Vor allem günstige Geräte betroffen

Dass "Vo1d" offenbar nur Geräte mit AOSP-Software angreift, lässt auch den Rückschluss zu, dass vor allem günstige Geräte von niedriger Qualität betroffen sind. Hersteller solcher Geräte sparen sich häufig Kosten, indem sie AOSP auf ihren Geräten installieren. Darüber hinaus wird dann gerne noch eine neuere Android-Version angegeben, als letztlich geliefert.

Veraltete AOSP-Versionen sind auch ein möglicher Vektor, der die Malware auf die Geräte gebracht haben könnte, vermuten die IT-Spezialisten von Dr. Web, allerdings ist über den genauen Ursprung der Malware noch nichts bekannt. Demnach hat möglicherweise eine weitere Malware als Verbindungselement gedient, um auf den Zielgeräten Root-Rechte zu erhalten.

Bisher bekannte betroffene Firmware-Versionen, die betroffene Nutzer an Dr. Web meldeten, sind:

  • Android 7.1.2; R4 Build/NHG47K
  • Android 12.1; TV BOX Build/NHG47K
  • Android 10.1; KJ-SMART4KVIP Build/NHG47K

Je nach Version veränderte die Malware demnach zunächst die Elemente install-recovery.sh und daemonsu oder ersetzte die debuggerd-Betriebssystemdateien, bei denen es sich um Startskripte handelt, die häufig in Android zu finden sind. Zudem tauchten mehrere neue Elemente in der Ordnerstruktur auf:

  • /system/xbin/vo1d
  • /system/xbin/wd
  • /system/bin/debuggerd
  • /system/bin/debuggerd_real

Name "Vo1d" soll Malware tarnen

Vermutlich haben diese der Software auch zu ihrem Namen verholfen: "Vo1d" ist eine einigermaßen unauffällige Abwandlung des Systemprogramms /system/bin/vold. Die Vo1d-Malware selbst befindet sich in den Dateien wd und vo1d. „Vo1d verbirgt seine Hauptfunktionalität in den Komponenten vo1d (Android.Vo1d.1) und wd (Android.Vo1d.3), die zusammenarbeiten“, erklärt Dr. Web.

Das Modul Android.Vo1d.1 ist verantwortlich für den Start von Android. Vo1d.3 kontrolliert dessen Aktivität, indem es den Prozess bei Bedarf neu startet. Darüber hinaus kann es ausführbare Dateien herunterladen und ausführen, wenn es vom Command-and-Control-Server dazu aufgefordert wird.

Mit "Vo1d"können Angreifer APKs herunterladen und installieren

Das Modul Android.Vo1d.3 wiederum installiert und startet das Hintergrundprogramm Android.Vo1d.5. Dieses Modul kann ebenfalls Dateien herunterladen und ausführen. Außerdem überwacht es bestimmte Verzeichnisse und installiert APK-Dateien, die es darin findet.

Android-TV-Boxen sind häufig dauerhaft eingeschaltet und mit dem Internet verbunden - was auch bedeutet, dass die "Vo1d"-Software die oben genannten Aktivitäten durchgängig ausführen kann.

Lesen Sie auch

Derweil wird auch nicht ausgeschlossen, dass "Vo1d" über die Lieferketten auf die Andoid-TV-Boxen gelangt sein könnte. So könnten bereits die Geräte-Hersteller das Programm vorinstalliert haben. Betroffene Nutzer können versuchen das Problem zu beheben, indem sie die neueste Firmware-Version für ihre Android TV Box installieren.

Der beste Rat, um sich vor Malwares wie "Vo1d" zu schützen ist jedoch: Gar nicht erst auf ein Gerät mit AOSP-Software zurückgreifen, sondern lieber auf ein Play Protect-zertifiertes Gerät mit Android TV-Betriebssystem. Denn die günstigen AOSP-Geräte bieten ein allzu gutes Einfallstor für Malware.

(nen)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten